Online form Security

我想做個調查,了解大家做 web application 時如何做保安。

例如一張簡單 online form,是 form to mail 或者 form to DB,收集的不是個人敏感資料。大家在做這個 application 時會否做保安設定去防止 malicious usage?若有,會做到甚麼程度?

A. 甚麼也不做
B. 會 filter user input
C. 會 check HTTP referer
D. 使用 CAPTCHA
E. 使用 SSL
F. 會 Encrypt Mail / DB

歡迎留言說你的選擇,可以的話,請說一下你的理由。若有其他保安上的做法,亦歡迎補充。CT

Related Posts

Tags:

This entry was posted on Friday, April 13th, 2007 at 7:44 pmand is filed under 技術交流. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

2 Responses to “Online form Security”

  • mk Says:
    April 17th, 2007 at 2:12 am

    那要看 Malicious usage 究竟是怎樣。保護使用者的話會將密碼放進資料庫前變成雜湊值(Hash),而 form to mail 盡量不用(不經 HTTP),因為統統會變成 clear text…(除非你還會附一條 public key… 不過這樣的話使用 HTTPS 對使用者會更為方便)
    SSL… 設定起來也不太麻煩,不過如果只是普通資料有點殺雞用牛刀的感覺。
    保護網站方面,會檢查 user input 是必然的啦,原因也不用多說。同理,網頁一定不可以直接顯示用家輸入值。
    Captcha 不會用,一來不方便使用者(歧視),二來繞過這種東西實在簡單得很(有人甚至想過把認 captcha 的工作 outsource 給印度人)
    還有這個,很值得一看:http://isc.sans.org/diary.html?storyid=1836

    Reply
  • Bwoqpcyx Says:
    December 14th, 2008 at 3:32 am

    Thanks!,

    Reply

Leave a Reply